网络安全日报 2023年12月06日

                               ​免责声明

本文发布的工具和脚本，仅用作测试和学习研究，禁止用于商业用途，不能保证其合法性，准确性，完整性和有效性，请根据情况自行判断。如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利，则应及时通知并提供身份证明，所有权证明，我们将在收到认证文件后删除相关内容。

文中所涉及的技术、思路及工具等相关知识仅供安全为目的的学习使用，任何人不得将其应用于非法用途及盈利等目的，间接使用文章中的任何工具、思路及技术，我方对于由此引起的法律后果概不负责。

——鼹鼠

网络安全日报 2023年12月06日

天盾安全实验室

1、Rare Wolf组织针对俄罗斯发起网络钓鱼攻击

https://bi.zone/expertise/blog/rare-wolf-okhotitsya-za-privatnymi-dannymi-s-pomoshchyu-falshivykh-nakladnykh-1s-predpriyatie/

研究人员发现了一个至少自2019年以来一直活跃的Rare Wolf组织针对俄罗斯发起钓鱼网络攻击。攻击者使用网络钓鱼电子邮件在目标设备上安装合法的跟踪工具Mipko Employee Monitor，窃取机密文档和密码，并获得对Telegram Messenger的访问权限。攻击者继续使用军民两用软件和合法工具来实施有针对性的攻击。这通常使它们能够与受损的IT基础设施合并并绕过许多安全措施。

2、Storm-0216组织使用Danabot银行木马部署勒索软件

https://twitter.com/MsftSecIntel/status/1730383711437283757

俄罗斯勒索软件攻击者Storm-0216（又名 Twisted Spider，UNC2198）正在使用高级银行木马Danabot来部署Cactus勒索软件。Danabot银行木马通过恶意广告进行传播。当前的Danabot活动于11月首次观察到，推测使用的是信息窃取恶意软件的私人版本，而不是恶意软件即服务产品。Danabot收集发送给命令和控制的用户凭据和其他信息，然后通过RDP登录尝试进行横向移动，最终发送给Storm-0216组织。

3、美国卫生部敦促医院修补高危Citrix Bleed漏洞

https://www.aha.org/system/files/media/file/2023/12/202311301200_Citrix-Bleed-Vulnerability-Sector-Alert-TLPCLEAR.pdf

美国卫生与公众服务部本周警告医院修补Netscaler攻击中经常利用的关键Citrix Bleed漏洞。勒索软件组织已经在使用Citrix Bleed（追踪为 CVE-2023-4966）通过规避登录要求和多因素身份验证保护来破坏目标网络。安全团队卫生部门网络安全协调中心周四发布了部门警报，敦促所有美国医疗机构确保易受攻击的NetScaler ADC和NetScaler Gateway设备免受勒索软件团伙的攻击。

4、未修补的 Loytec 楼宇自动化漏洞在发现两年后被披露

https://www.securityweek.com/unpatched-loytec-building-automation-flaws-disclosed-2-years-after-discovery/

工业网络安全公司 TXOne Networks 披露了其研究人员两年多前在奥地利公司 Loytec 生产的楼宇自动化产品中发现的 10 个未修补漏洞的详细信息。

5、基因检测公司23andMe证实黑客窃取了数百万用户的数据

https://www.securityweek.com/23andme-says-hackers-saw-data-from-millions-of-users/

23andMe 周二证实，黑客使用窃取的密码访问了该公司 690 万名会员的个人信息。

6、谷歌修复了 Android 中关键的零点击 RCE漏洞

https://securityaffairs.com/155232/mobile-2/google-android-critical-zero-click-rce.html

Google 通过发布 2023 年 12 月 Android 安全更新修复了一个严重的零点击 RCE 漏洞 (CVE-2023-40088)。Google 2023 年 12 月 Android 安全更新解决了 85 个漏洞

7、GitHub 上 15,000 个 Go 模块仓库容易遭受 Repojacking 攻击

https://thehackernews.com/2023/12/15000-go-module-repositories-on-github.html

新研究发现 GitHub 上超过 15,000 个 Go 模块存储库容易受到名为 repojacking 的攻击。Repojacking是“存储库”和“劫持”的组合，是一种攻击技术，允许不良行为者利用帐户用户名更改和删除来创建具有相同名称和预先存在的用户名的存储库来上演开源软件供应链攻击。

8、会计软件巨头 Tipalti 调查勒索软件攻击事件

https://www.cybersecuritydive.com/news/tipalti-investigates-ransomware-supply-chain-attack/701516/

ALHV称获得了对多个 Tipalti 系统的持续访问权限，并窃取了超过 265GB 的数据，并声称有内部人员参与了这些攻击。

9、恶意广告攻击依靠 DanaBot 木马传播 CACTUS 勒索软件

https://securityaffairs.com/155184/cyber-crime/danabot-spread-cactus-ransomware.html

微软警告称，持续存在利用 DanaBot 恶意软件部署 CACTUS 勒索软件的恶意广告攻击。

10、俄罗斯黑客利用 Outlook 漏洞劫持 Exchange 账户

https://www.freebuf.com/news/385687.html

微软威胁情报团队近期发布警告称，疑似具有俄罗斯国家背景的网络攻击组织 APT28（又名 "Fancybear "或 "Strontium"）正在积极利用 CVE-2023-23397 Outlook 漏洞，劫持微软 Exchange 账户并窃取敏感信息。